AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-ResetLinuxUserPassword

Beschreibung

Das AWSSupport-ResetLinuxUserPassword Runbook hilft Ihnen dabei, das Passwort eines lokalen Betriebssystembenutzers (OS) zurückzusetzen. Dieses Runbook ist besonders hilfreich für Benutzer, die über die serielle Konsole auf ihre Amazon Elastic Compute Cloud (Amazon EC2) -Instances zugreifen müssen. Das Runbook erstellt eine temporäre Amazon EC2 EC2-Instance in Ihrem AWS-Konto mit entweder einer automatisch generierten AWS Identity and Access Management (IAM) Rolle oder einem von Ihnen angegebenen benutzerdefinierten IAM-Instance-Profil. Das benutzerdefinierte Instance-Profil (IAM) muss berechtigt sein, den AWS Secrets Manager geheimen Wert, der das Passwort enthält, abzurufen.

Das Runbook stoppt Ihre Amazon EC2 EC2-Ziel-Instance, trennt das Amazon Elastic Block Store (Amazon EBS) -Stammvolume und fügt es der temporären Amazon EC2 EC2-Instance hinzu. Mithilfe von Run Command wird auf der temporären Instance ein Skript ausgeführt, um das Passwort des von Ihnen angegebenen Betriebssystembenutzers festzulegen. Anschließend wird das Amazon EBS-Root-Volume wieder an Ihre Ziel-Instance angehängt. Das Runbook bietet auch die Möglichkeit, zu Beginn der Automatisierung einen Snapshot des Root-Volumes zu erstellen.

Bevor Sie beginnen

Erstellen Sie ein Secrets Manager Manager-Geheimnis mit dem Wert des Passworts, das Sie Ihrem Betriebssystembenutzer zuweisen möchten. Der Wert muss im Klartext sein. Weitere Informationen finden Sie unter Erstellen eines AWS Secrets Manager -Secrets im AWS Secrets Manager -Benutzerhandbuch.

Überlegungen

  • Wir empfehlen, Ihre Instance zu sichern, bevor Sie dieses Runbook verwenden. Erwägen Sie, den Wert des CreateSnapshot Parameters auf festzulegen. Yes

  • Um das lokale Benutzerkennwort zu ändern, muss das Runbook Ihre Instance beenden. Wenn eine Instance gestoppt wird, gehen alle im Arbeitsspeicher oder auf Instance-Speicher-Volumes gespeicherten Daten verloren. Außerdem werden alle automatisch zugewiesenen öffentlichen IPv4 Adressen freigegeben. Weitere Informationen darüber, was passiert, wenn Sie eine Instance beenden, finden Sie unter Stoppen und starten Sie Ihre Instance im Amazon EC2 EC2-Benutzerhandbuch.

  • Wenn die Amazon EBS-Volumes, die an Ihre Amazon EC2 EC2-Zielinstanz angehängt sind, mit einem vom Kunden verwalteten AWS Key Management Service (AWS KMS) Schlüssel verschlüsselt sind, stellen Sie sicher, dass der AWS KMS Schlüssel nicht verschlüsselt ist, deleted da disabled sonst Ihre Instance nicht gestartet werden kann.

  • Für die Verwendung eines benutzerdefinierten IAM-Instanzprofils ist eine GetInstanceProfile IAM-Berechtigung für die AutomationAssumeRole Validierung erforderlich, und das benutzerdefinierte Instanzprofil selbst muss die Zugriffsberechtigungen Systems Manager und Secrets Manager enthalten. Das Runbook überprüft das Vorhandensein eines Instanzprofils im Voraus, schlägt jedoch bei Helper-Instance-Vorgängen fehl, wenn für das Instanzprofil kein erforderlicher Zugriff erforderlich ist.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Linux

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • InstanceId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID der Amazon EC2 EC2-Linux-Instance, die das Betriebssystembenutzerkennwort enthält, das Sie zurücksetzen möchten.

  • LinuxUserName

    Typ: Zeichenfolge

    Standard: ec2-user

    Beschreibung: (Optional) Das Betriebssystem-Benutzerkonto, dessen Passwort Sie zurücksetzen möchten.

  • SecretArn

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der ARN Ihres Secrets Manager Manager-Geheimnisses, das das neue Passwort enthält.

  • SecurityGroupId

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die ID der Sicherheitsgruppe, die an die temporäre Amazon EC2 EC2-Instance angehängt werden soll. Wenn Sie keinen Wert für diesen Parameter angeben, wird die Standardsicherheitsgruppe Amazon Virtual Private Cloud (Amazon VPC) verwendet.

  • SubnetId

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die ID des Subnetzes, in dem Sie die temporäre Amazon EC2 EC2-Instance starten möchten. Standardmäßig wählt die Automatisierung dasselbe Subnetz wie Ihre Ziel-Instance aus. Wenn Sie sich dafür entscheiden, ein anderes Subnetz bereitzustellen, muss es sich in derselben Availability Zone wie die Ziel-Instance befinden und Zugriff auf Systems Manager Manager-Endpunkte haben.

  • CreateSnapshot

    Typ: Zeichenfolge

    Gültige Werte: Ja | Nein

    Standard: Ja

    Beschreibung: (Optional) Legt fest, ob ein Snapshot des Root-Volumes Ihrer Amazon EC2 EC2-Zielinstanz erstellt wird, bevor die Automatisierung ausgeführt wird.

  • StopConsent

    Typ: Zeichenfolge

    Gültige Werte: Ja | Nein

    Standard: Nein

    Beschreibung: Geben Sie ein, Yes um zu bestätigen, dass Ihre Amazon EC2 EC2-Zielinstanz während dieser Automatisierung gestoppt wird. Wenn die Amazon EC2 EC2-Instance gestoppt wird, gehen alle im Arbeitsspeicher oder auf Instance-Speicher-Volumes gespeicherten Daten verloren und die automatische öffentliche IPv4 Adresse wird freigegeben. Weitere Informationen finden Sie unter Anhalten und Starten einer Instance im Amazon-EC2-Benutzerhandbuch.

  • InstanceProfileName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Name des IAM-Instance-Profils, das an die Amazon EC2 EC2-Helper-Instance angehängt werden soll. Falls nicht angegeben, wird automatisch ein temporäres Instance-Profil mit den erforderlichen Berechtigungen erstellt. Das benutzerdefinierte Instanzprofil muss über Berechtigungen für den Zugriff auf das angegebene Secrets Manager Manager-Secret und Systems Manager verfügen.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

  • iam:GetInstanceProfile

Dokumentschritte

  1. aws:branch— Verzweigungen basierend darauf, ob Sie dem Stoppen der Amazon EC2 EC2-Zielinstanz zugestimmt haben.

  2. aws:assertAwsResourceProperty— Stellt sicher, dass sich der Status der Amazon EC2 EC2-Instance im stopped Status running oder befindet. Andernfalls endet die Automatisierung.

  3. aws:executeAwsApi— Ruft die Amazon EC2 EC2-Instance-Eigenschaften ab.

  4. aws:executeAwsApi— Ruft die Eigenschaften des Root-Volumes ab.

  5. aws:branch— Verzweigt die Automatisierung in Abhängigkeit davon, ob eine Subnetz-ID für die temporäre Amazon EC2 EC2-Instance bereitgestellt wurde.

  6. aws:assertAwsResourceProperty— Stellt sicher, dass sich das Subnetz, das Sie im SubnetId Parameter angeben, in derselben Availability Zone wie die Amazon EC2 EC2-Ziel-Instance befindet.

  7. aws:assertAwsResourceProperty— Stellt sicher, dass es sich bei dem Stammvolume der Amazon EC2 EC2-Instance um ein Amazon EBS-Volume handelt.

  8. aws:assertAwsResourceProperty— Stellt sicher, dass die Amazon EC2 EC2-Instance-Architektur arm64 oder x86_64 ist.

  9. aws:assertAwsResourceProperty— Stellt sicher, dass das Verhalten beim Herunterfahren der Amazon EC2 EC2-Instance stimmt stop und nichtterminate.

  10. aws:branch— Stellt sicher, dass es sich bei der Amazon EC2-Instance nicht um eine Spot-Instance handelt. Andernfalls endet die Automatisierung.

  11. aws:executeScript— Stellt sicher, dass die Amazon EC2 EC2-Instance nicht Teil einer Auto Scaling-Gruppe ist. Wenn die Instance Teil einer Auto Scaling-Gruppe ist, bestätigt die Automatisierung, dass sich die Amazon EC2 EC2-Instance in einem Standby Lebenszyklusstatus befindet.

  12. aws:branch— Verzweigt die Automatisierung je nachdem, ob ein benutzerdefinierter IAM-Instance-Profilname angegeben wurde oder nicht

  13. aws:assertAwsResourceProperty— Stellt sicher, dass das benutzerdefinierte IAM-Instanzprofil existiert, und überprüft, ob sein Name mit dem Eingabeparameter übereinstimmt.

  14. aws:createStack— Erstellt eine temporäre Amazon EC2 EC2-Instance, die verwendet wird, um das Passwort für den von Ihnen angegebenen Betriebssystembenutzer zurückzusetzen.

  15. aws:waitForAwsResourceProperty— Wartet, bis die neu gestartete temporäre Amazon EC2 EC2-Instance läuft.

  16. aws:executeAwsApi— Ruft die ID der temporären Amazon EC2 EC2-Instance ab.

  17. aws:waitForAwsResourceProperty— Wartet darauf, dass die temporäre Amazon EC2 EC2-Instance als von Systems Manager verwaltet gemeldet wird.

  18. aws:changeInstanceState— Stoppt die Amazon EC2 EC2-Zielinstanz.

  19. aws:changeInstanceState— Zwingt die Amazon EC2 EC2-Zielinstanz zum Beenden, falls sie in einem Stopp-Zustand hängen bleibt.

  20. aws:branch— Verzweigt die Automatisierung je nachdem, ob ein Snapshot des Root-Volumes der Amazon EC2 EC2-Zielinstanz angefordert wurde.

  21. aws:executeAwsApi— Erstellt einen Snapshot des Amazon EBS-Stammvolumes der Amazon EC2-Zielinstanz.

  22. aws:waitForAwsResourceProperty— Wartet darauf, dass sich der Snapshot in einem bestimmten Zustand befindet. completed

  23. aws:executeAwsApi— Trennt das Amazon EBS-Root-Volume von der Amazon EC2 EC2-Zielinstanz.

  24. aws:waitForAwsResourceProperty— Wartet darauf, dass das Amazon EBS-Root-Volume von der Amazon EC2 EC2-Zielinstanz getrennt wird.

  25. aws:executeAwsApi— Hängt das Amazon EBS-Stammvolume an die temporäre Amazon EC2 EC2-Instance an.

  26. aws:waitForAwsResourceProperty— Wartet darauf, dass das Amazon EBS-Root-Volume an die temporäre Amazon EC2 EC2-Instance angehängt wird.

  27. aws:runCommand— Setzt das Zielbenutzerkennwort zurück, indem ein Shell-Skript mit Run Command auf der temporären Amazon EC2 EC2-Instance ausgeführt wird.

  28. aws:executeAwsApi— Trennt das Amazon EBS-Root-Volume von der temporären Amazon EC2 EC2-Instance.

  29. aws:waitForAwsResourceProperty— Wartet darauf, dass das Amazon EBS-Root-Volume von der temporären Amazon EC2 EC2-Instance getrennt wird.

  30. aws:executeAwsApi— Trennt das Amazon EBS-Root-Volume nach einem Fehler von der temporären Amazon EC2 EC2-Instance.

  31. aws:waitForAwsResourceProperty— Wartet darauf, dass das Amazon EBS-Root-Volume nach einem Fehler von der temporären Amazon EC2 EC2-Instance getrennt wird.

  32. aws:branch— Verzweigt die Automatisierung je nachdem, ob ein Snapshot des Root-Volumes angefordert wurde, um den Wiederherstellungspfad für den Fall eines Fehlers zu ermitteln.

  33. aws:executeAwsApi— Hängt das Amazon EBS-Stammvolume erneut an die Amazon EC2 EC2-Zielinstanz an.

  34. aws:waitForAwsResourceProperty— Wartet darauf, dass das Amazon EBS-Root-Volume an die Amazon EC2 EC2-Instance angehängt wird.

  35. aws:executeAwsApi— Erstellt ein neues Amazon EBS-Volume aus dem Root-Volume-Snapshot der Amazon EC2 EC2-Instance der Zielinstanz.

  36. aws:waitForAwsResourceProperty— Wartet, bis sich das neue Amazon EBS-Volume in einem available Zustand befindet.

  37. aws:executeAwsApi— Hängt das neue Amazon EBS-Volume als Root-Volume an die Ziel-Instance an.

  38. aws:waitForAwsResourceProperty— Wartet darauf, dass sich das Amazon EBS-Volume in einem attached bestimmten Zustand befindet.

  39. aws:executeAwsApi— Beschreibt die CloudFormation Stack-Ereignisse, wenn die Runbooks den Stack nicht erstellen oder aktualisieren können. CloudFormation

  40. aws:branch— Verzweigt die Automatisierung in Abhängigkeit vom vorherigen Status der Amazon EC2 EC2-Instanz. Wenn der Status warrunning, wird die Instance gestartet. Wenn sie sich in einem stopped Status befand, wird die Automatisierung fortgesetzt.

  41. aws:changeInstanceState— Startet die Amazon EC2 EC2-Instance bei Bedarf.

  42. aws:waitForAwsResourceProperty— Wartet, bis sich der CloudFormation Stack im Terminalstatus befindet, bevor er gelöscht wird.

  43. aws:executeAwsApi— Löscht den CloudFormation Stack einschließlich der temporären Amazon EC2 EC2-Instance.